Spionase Siber di Balik Layanan Slack dan Discord

Image credit: Freepix

Spionase Siber di Balik Layanan Slack dan Discord – Peneliti ESET baru saja mengungkap keberadaan kelompok spionase siber (APT) yang sebelumnya tidak terdokumentasi dan diyakini selaras dengan kepentingan Tiongkok.

Kelompok yang diberi nama GopherWhisper ini memiliki karakteristik unik, yaitu penggunaan rangkaian alat peretasan yang sebagian besar ditulis dalam bahasa pemrograman Go.

Hal yang membuat GopherWhisper sangat berbahaya adalah kemampuannya menyalahgunakan layanan cloud sah yang biasa digunakan sehari-hari seperti:

  • Discord
  • Slack
  • Microsoft 365 Outlook
  • dan file.io

Sebagai sarana komunikasi perintah (Command and Control atau C&C) serta pencurian data (exfiltration). Strategi ini membuat aktivitas ilegal mereka sulit dibedakan dengan lalu lintas jaringan kantor yang normal.

Baca juga: Waspada! Ribuan Router Asus Terinfeksi KadNap

Gudang Senjata GopherWhisper

Nama GopherWhisper dipilih oleh para peneliti karena mayoritas alat mereka menggunakan bahasa Go (yang memiliki maskot seekor gopher).

Serta penggunaan komponen berbahaya bernama whisper.dll. Peneliti berhasil mengidentifikasi berbagai alat canggih di dalam gudang senjata mereka:

  • JabGopher: Sebuah injektor yang bertugas menyuntikkan pintu belakang (backdoor) ke dalam memori proses sistem agar tidak terdeteksi.
  • LaxGopher & RatGopher: Dua pintu belakang berbasis Go yang masing-masing menyalahgunakan Slack dan Discord untuk menerima perintah dari peretas dan mengirimkan hasilnya kembali ke saluran tersebut.
  • BoxOfFriends: Backdoor yang sangat cerdik karena menggunakan API Microsoft Graph untuk berkomunikasi melalui pesan draf di Outlook. Peretas dan malware saling bertukar informasi melalui draf email tanpa harus benar-benar mengirimkan email tersebut.
  • CompactGopher: Alat khusus yang digunakan untuk mengompresi file korban secara cepat dan mengirimkannya ke layanan berbagi file file.io.
  • SSLORDoor: Pintu belakang berbasis C++ yang digunakan untuk manipulasi file secara langsung pada sistem yang terkompromi.

Mengintip Isi Pesan Sang Peretas

Salah satu pencapaian besar dalam investigasi ini adalah keberhasilan peneliti dalam mengekstrak ribuan pesan dari saluran Slack dan Discord yang digunakan oleh GopherWhisper.

Analisis terhadap pesan-pesan ini memberikan wawasan mendalam mengenai cara kerja internal kelompok tersebut.

Berdasarkan pemeriksaan stempel waktu (timestamp), sebagian besar aktivitas pengiriman pesan terjadi pada jam kerja, yaitu antara pukul 08.00 hingga 17.00 di zona waktu UTC+8. Zona waktu ini selaras dengan Waktu Standar Tiongkok (China Standard Time).

Selain itu, pengaturan metadata pengguna pada akun-akun tersebut juga menunjukkan zona waktu yang sama, yang memperkuat dugaan bahwa kelompok ini berbasis di wilayah tersebut.

Pesan-pesan yang terkumpul mengungkap bahwa peretas menggunakan saluran tersebut untuk:

  • Melakukan pengujian fungsi backdoor sebelum digunakan dalam serangan nyata.
  • Mengirimkan perintah enumerasi disk dan pencarian file sensitif pada mesin korban.
  • Berbagi referensi dari berbagai repositori GitHub untuk pengembangan kode enkripsi dan teknik injeksi proses.

Baca juga: Panduan Komprehensif Menghapus Informasi Pribadi di Internet

Jejak Digital di Layanan Microsoft Outlook

Selain Slack dan Discord, peneliti juga menemukan jejak komunikasi pada akun Outlook yang digunakan oleh backdoor BoxOfFriends.

Peneliti menemukan bahwa akun tersebut dibuat hanya 11 hari sebelum komponen pemuat (loader) dari malware tersebut diciptakan.

Kelalaian peretas yang tidak menghapus email sambutan otomatis dari Microsoft saat pembuatan akun memberikan petunjuk penting mengenai linimasa operasi mereka.

Langkah Penjagaan terhadap Ancaman APT

Kemampuan GopherWhisper dalam memanfaatkan layanan sah menuntut organisasi untuk memiliki sistem deteksi yang lebih peka. Beberapa langkah penguatan yang dapat diambil meliputi:

  1. Pemantauan Aktivitas API: Awasi penggunaan API layanan seperti Slack, Discord, atau Microsoft Graph yang tidak lazim, terutama dari proses sistem yang tidak seharusnya berkomunikasi dengan layanan tersebut.
  2. Analisis Memori: Karena GopherWhisper sering menggunakan teknik injeksi memori, gunakan solusi keamanan yang mampu memindai aktivitas proses secara real-time.
  3. Audit Lalu Lintas Cloud: Jangan mengasumsikan bahwa semua koneksi ke domain Microsoft atau Slack adalah aman. Terapkan inspeksi mendalam pada lalu lintas enkripsi (SSL/TLS).
  4. Gunakan Proteksi Modern: Solusi keamanan dari ESET dirancang untuk mengenali pola perilaku dari malware berbasis Go dan teknik pemuatan kode yang digunakan oleh kelompok APT seperti GopherWhisper, bahkan sebelum tanda tangan digital malware tersebut dikenal secara luas.

Keamanan di Balik Layanan Terpercaya

Investigasi terhadap GopherWhisper membuktikan bahwa kelompok APT modern kini semakin mahir “bersembunyi di tempat terang” dengan menyalahgunakan infrastruktur cloud publik yang tepercaya.

Di tahun 2026, membedakan antara kolaborasi tim yang sah dengan instruksi dari peretas memerlukan ketelitian tingkat tinggi.

Memahami taktik mereka mulai dari penggunaan bahasa Go hingga komunikasi lewat draf email adalah kunci utama bagi organisasi untuk tetap selangkah di depan dalam menjaga integritas data pemerintah maupun korporasi dari intaian spionase siber.

 

 

 

 

Hal yang membuat GopherWhisper sangat berbahaya adalah kemampuannya menyalahgunakan layanan cloud sah yang biasa digunakan sehari-hari seperti:

  • Discord
  • Slack
  • Microsoft 365 Outlook
  • dan file.io

Sebagai sarana komunikasi perintah (Command and Control atau C&C) serta pencurian data (exfiltration). Strategi ini membuat aktivitas ilegal mereka sulit dibedakan dengan lalu lintas jaringan kantor yang normal.

Baca juga: Waspada! Ribuan Router Asus Terinfeksi KadNap

Gudang Senjata GopherWhisper

Nama GopherWhisper dipilih oleh para peneliti karena mayoritas alat mereka menggunakan bahasa Go (yang memiliki maskot seekor gopher).

Serta penggunaan komponen berbahaya bernama whisper.dll. Peneliti berhasil mengidentifikasi berbagai alat canggih di dalam gudang senjata mereka:

  • JabGopher: Sebuah injektor yang bertugas menyuntikkan pintu belakang (backdoor) ke dalam memori proses sistem agar tidak terdeteksi.
  • LaxGopher & RatGopher: Dua pintu belakang berbasis Go yang masing-masing menyalahgunakan Slack dan Discord untuk menerima perintah dari peretas dan mengirimkan hasilnya kembali ke saluran tersebut.
  • BoxOfFriends: Backdoor yang sangat cerdik karena menggunakan API Microsoft Graph untuk berkomunikasi melalui pesan draf di Outlook. Peretas dan malware saling bertukar informasi melalui draf email tanpa harus benar-benar mengirimkan email tersebut.
  • CompactGopher: Alat khusus yang digunakan untuk mengompresi file korban secara cepat dan mengirimkannya ke layanan berbagi file file.io.
  • SSLORDoor: Pintu belakang berbasis C++ yang digunakan untuk manipulasi file secara langsung pada sistem yang terkompromi.

Mengintip Isi Pesan Sang Peretas

Salah satu pencapaian besar dalam investigasi ini adalah keberhasilan peneliti dalam mengekstrak ribuan pesan dari saluran Slack dan Discord yang digunakan oleh GopherWhisper.

Analisis terhadap pesan-pesan ini memberikan wawasan mendalam mengenai cara kerja internal kelompok tersebut.

Berdasarkan pemeriksaan stempel waktu (timestamp), sebagian besar aktivitas pengiriman pesan terjadi pada jam kerja, yaitu antara pukul 08.00 hingga 17.00 di zona waktu UTC+8. Zona waktu ini selaras dengan Waktu Standar Tiongkok (China Standard Time).

Selain itu, pengaturan metadata pengguna pada akun-akun tersebut juga menunjukkan zona waktu yang sama, yang memperkuat dugaan bahwa kelompok ini berbasis di wilayah tersebut.

Pesan-pesan yang terkumpul mengungkap bahwa peretas menggunakan saluran tersebut untuk:

  • Melakukan pengujian fungsi backdoor sebelum digunakan dalam serangan nyata.
  • Mengirimkan perintah enumerasi disk dan pencarian file sensitif pada mesin korban.
  • Berbagi referensi dari berbagai repositori GitHub untuk pengembangan kode enkripsi dan teknik injeksi proses.

Baca juga: Panduan Komprehensif Menghapus Informasi Pribadi di Internet

Jejak Digital di Layanan Microsoft Outlook

Selain Slack dan Discord, peneliti juga menemukan jejak komunikasi pada akun Outlook yang digunakan oleh backdoor BoxOfFriends.

Peneliti menemukan bahwa akun tersebut dibuat hanya 11 hari sebelum komponen pemuat (loader) dari malware tersebut diciptakan.

Kelalaian peretas yang tidak menghapus email sambutan otomatis dari Microsoft saat pembuatan akun memberikan petunjuk penting mengenai linimasa operasi mereka.

Langkah Penjagaan terhadap Ancaman APT

Kemampuan GopherWhisper dalam memanfaatkan layanan sah menuntut organisasi untuk memiliki sistem deteksi yang lebih peka. Beberapa langkah penguatan yang dapat diambil meliputi:

  1. Pemantauan Aktivitas API: Awasi penggunaan API layanan seperti Slack, Discord, atau Microsoft Graph yang tidak lazim, terutama dari proses sistem yang tidak seharusnya berkomunikasi dengan layanan tersebut.
  2. Analisis Memori: Karena GopherWhisper sering menggunakan teknik injeksi memori, gunakan solusi keamanan yang mampu memindai aktivitas proses secara real-time.
  3. Audit Lalu Lintas Cloud: Jangan mengasumsikan bahwa semua koneksi ke domain Microsoft atau Slack adalah aman. Terapkan inspeksi mendalam pada lalu lintas enkripsi (SSL/TLS).
  4. Gunakan Proteksi Modern: Solusi keamanan dari ESET dirancang untuk mengenali pola perilaku dari malware berbasis Go dan teknik pemuatan kode yang digunakan oleh kelompok APT seperti GopherWhisper, bahkan sebelum tanda tangan digital malware tersebut dikenal secara luas.

Keamanan di Balik Layanan Terpercaya

Investigasi terhadap GopherWhisper membuktikan bahwa kelompok APT modern kini semakin mahir “bersembunyi di tempat terang” dengan menyalahgunakan infrastruktur cloud publik yang tepercaya.

Di tahun 2026, membedakan antara kolaborasi tim yang sah dengan instruksi dari peretas memerlukan ketelitian tingkat tinggi.

Memahami taktik mereka mulai dari penggunaan bahasa Go hingga komunikasi lewat draf email adalah kunci utama bagi organisasi untuk tetap selangkah di depan dalam menjaga integritas data pemerintah maupun korporasi dari intaian spionase siber.

 

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Trigona Ransomware dengan Alat Pencuri Data Kustom

Trigona Ransomware dengan Alat Pencuri Data Kustom

April 27, 2026 0
SNOW Malware Baru yang Incar Eksekutif

SNOW Malware Baru yang Incar Eksekutif

April 27, 2026 0

You may have missed

Spionase Siber di Balik Layanan Slack dan Discord

Spionase Siber di Balik Layanan Slack dan Discord

April 27, 2026 0
Trigona Ransomware dengan Alat Pencuri Data Kustom

Trigona Ransomware dengan Alat Pencuri Data Kustom

April 27, 2026 0
SNOW Malware Baru yang Incar Eksekutif

SNOW Malware Baru yang Incar Eksekutif

April 27, 2026 0
Telegram Bobol Ratusan Perusahaan di Seluruh Dunia

Telegram Bobol Ratusan Perusahaan di Seluruh Dunia

April 27, 2026 0
Mengenal Caller as a Service

Mengenal Caller as a Service

April 24, 2026 0
Pencurian Data Lewat Proyek GitHub Kloning

Pencurian Data Lewat Proyek GitHub Kloning

April 24, 2026 0